12
Zertifikatsausstellug für Coreserver
Guten Abend Kollegen!
Hat zufällig jemand eine Schritt-für-Schritt Anleitung parat, wie ich für einen Coreserver ein Zertifikat von der Domänen PKI anfordern kann? Verwendungszwecke: Client- und Serverauthentifizierung.
Windows (Hyper-V-) Coreserver 2016.
Das Zertifikat soll genutzt werden, um Replikationstraffic von Hyper-V zu verschlüsseln.
Hat zufällig jemand eine Schritt-für-Schritt Anleitung parat, wie ich für einen Coreserver ein Zertifikat von der Domänen PKI anfordern kann? Verwendungszwecke: Client- und Serverauthentifizierung.
Windows (Hyper-V-) Coreserver 2016.
Das Zertifikat soll genutzt werden, um Replikationstraffic von Hyper-V zu verschlüsseln.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 322632
Url: https://administrator.de/contentid/322632
Printed on: April 19, 2024 at 19:04 o'clock
12 Comments
Latest comment
Hi,
habe ich zwar nicht, aber geht das nicht per PowerShell?
Get-Certificate
E.
habe ich zwar nicht, aber geht das nicht per PowerShell?
Get-Certificate
Submits a certificate request to an enrollment server and installs the response or retrieves a certificate for a previously submitted request.
E.
Moin.
Ja sicher...aber welche Parameter sind dafür denn benötigt? Es geht mir um ein HowTo - ich habe gerade nicht die Muße, es selbst herauszusuchen.
Ja sicher...aber welche Parameter sind dafür denn benötigt? Es geht mir um ein HowTo - ich habe gerade nicht die Muße, es selbst herauszusuchen.
Sorry.
Alternative, so aus der Hüfte:
Von einem anderen Rechner mit einem User, welcher den Core-Server administrieren darf, die MCC starten. SnapIn "Zertifikate" hinzufügen, für Computer, für anderen Computer. Computer angeben.
Knoten "Eigene Zertifikate", "Zertifikate", Kontextmenü, "alle Aufgaben", "erweiterte ...", "benutzerdef..."
Wenn das in der CA konfiguriert ist, dass dieser Computer/User Certifkate anfordern kann, dann sollte im Dialog eine Vorlage "Webserver" erscheinen. Hier noch die Details angeben. Absenden.
Alternative, so aus der Hüfte:
Von einem anderen Rechner mit einem User, welcher den Core-Server administrieren darf, die MCC starten. SnapIn "Zertifikate" hinzufügen, für Computer, für anderen Computer. Computer angeben.
Knoten "Eigene Zertifikate", "Zertifikate", Kontextmenü, "alle Aufgaben", "erweiterte ...", "benutzerdef..."
Wenn das in der CA konfiguriert ist, dass dieser Computer/User Certifkate anfordern kann, dann sollte im Dialog eine Vorlage "Webserver" erscheinen. Hier noch die Details angeben. Absenden.
Ich weiß. Auch das scheitert an Parametern, die ich angeben muss. Trotz Autoenrollment Policy ist dies nicht "mal eben" für mich.
Hi,
erstelle dir ein Zertifikatstemplate in deiner CA nach folgendem Beispiel
https://www.frankysweb.de/exchange-2013-assistent-fuer-zertifikate/
Aber setzte statt der genannten Gruppe in die ACL des Templates das Computerkonto des Hyper-V Core und geb diesem Lesen und Registrieren Rechte.
Dann kannst du auf dem Hyper-V in der Powershell mit
Das Zertifikat direkt von der CA anfordern. Name des Templates und DNS Name natürlich anpassen.
Du kannst natürlich auch nur einer bestimmten vertrauenswürdigen Maschine das Recht zum Ausstellen geben und das Zertifikat dann dort per MMC oder PS anfordern, exportieren und auf den Hyper-V kopieren und importieren. Das bleibt die überlassen.
Gruß
erstelle dir ein Zertifikatstemplate in deiner CA nach folgendem Beispiel
https://www.frankysweb.de/exchange-2013-assistent-fuer-zertifikate/
Aber setzte statt der genannten Gruppe in die ACL des Templates das Computerkonto des Hyper-V Core und geb diesem Lesen und Registrieren Rechte.
Dann kannst du auf dem Hyper-V in der Powershell mit
Get-Certificate -Template "NameDesTemplates" -DnsName "deinhyperv.domain.intern" -CertStoreLocation "cert:\LocalMachine\My" -URL ldap: Du kannst natürlich auch nur einer bestimmten vertrauenswürdigen Maschine das Recht zum Ausstellen geben und das Zertifikat dann dort per MMC oder PS anfordern, exportieren und auf den Hyper-V kopieren und importieren. Das bleibt die überlassen.
Gruß
Danke.
Umsetzung könnte dauern, hier ist gerade mächtig viel los.
Umsetzung könnte dauern, hier ist gerade mächtig viel los.
Argh.
Ich gehe nach Anleitung vor, aber schon bei "Zertifikatsvorlage aktivieren" will die so eben erstellte einfach nicht auftauchen, auch nicht nicht mehreren Minuten. Noch eine Idee dazu?
Ich gehe nach Anleitung vor, aber schon bei "Zertifikatsvorlage aktivieren" will die so eben erstellte einfach nicht auftauchen, auch nicht nicht mehreren Minuten. Noch eine Idee dazu?
Läuft hier problemlos.
Da wird deine Zertifizierungstelle einen Knacks haben, kenne eure Stuktur diesbezüglich aber nicht, starte die Zertifizierungstellen-Dienste einfach mal neu.
Da wird deine Zertifizierungstelle einen Knacks haben, kenne eure Stuktur diesbezüglich aber nicht, starte die Zertifizierungstellen-Dienste einfach mal neu.
Tjaaa... bis heute war die fehlerfrei. Dienst wurde neu gestartet, hat nichts gebracht. Ich habe weiter recherchiert und sehe, dass die Zertvorlagen, die ich aktivieren könnte, allesamt eine andere Version aufweisen, als das erstelle Duplikat, welches die Version 100.2 bekommt.
Ich denke, da werde ich mal forschen müssen.
Ich denke, da werde ich mal forschen müssen.
So, ich weiß zwar nach wie vor nicht, warum ich die Anleitung nicht durchführen konnte, aber das war auch gar nicht nötig. Die Vorlage "Computer" reicht ja für die Zwecke aus.
Get-Certificate -Template machine -DnsName "myHypervReplicaTarget.domain.local" -CertStoreLocation "cert:\LocalMachine\My" -URL ldap:
Nochmals Danke, eine Sorge weniger. Ich bin gespannt, wie die Replikation nun läuft, nachdem es doch etwas losholperte, siehe Erfahrungswerte zur Stabilität von Hyper-V Replikation
Mittlerweile kann ich klarstellen:
das Duplizieren nach genannter Anleitung funktionierte damals nicht, weil unsere CA ein Server 2008 Standard war - der kann das schlicht nicht. Nun haben wir eine CA auf 2016 Server, da geht es.
Laut Recherche braucht man einen von
2008 Enterprise
2008 R2 Standard oder höhere Standardversionen.
Mit 2008 Standard hatten wir also gerade die A.karte
das Duplizieren nach genannter Anleitung funktionierte damals nicht, weil unsere CA ein Server 2008 Standard war - der kann das schlicht nicht. Nun haben wir eine CA auf 2016 Server, da geht es.
Laut Recherche braucht man einen von
2008 Enterprise
2008 R2 Standard oder höhere Standardversionen.
Mit 2008 Standard hatten wir also gerade die A.karte
